Sem categoria

Bloqueando Drupalgeddon2 com Fail2ban

Recentemente tive que limpar alguns sites com Drupal 7 que foram alvos da vulnerabilidade CVE-2018-7600 / SA-CORE-2018-002, conhecido como Drupalgeddon2.

Mesmo que tenha que limpado os efeitos colaterais e atualizado o core resolvi implementar uma regra no Fail2ban para que aqueles ataques que tentassem explorar a vulnerabilidade à partir de um método conhecido não pudesse explorar outra forma.

Testei um exploit em Ruby e outro em Python que exploram a vulnerabilidade e usei dois trechos para o Fail2ban identificar e bloquear a ação.

Acrescentei em /etc/fail2ban/jail.local

[drupalgeddon2]
enabled = true
filter = drupalgeddon2
port = http,https
action = iptables-multiport[name=drupalgeddon2, port=”http,https”, protocol=tcp]
# logpath = /var/log/apache2/*.log
logpath = /var/log/nginx/*.log
bantime = 84600
maxretry = 1

e em /etc/fail2ban/filter.d/drupalgeddon2.conf 

[Definition]
failregex = ^ .* “.*passthru&name.*” .*$
^.*GET.*(?i)passthru&name.*
ignoreregex =

Padrão